Acum aproape 10 ani scriam ”O pledoarie pentru o abordare corectă a auditului”. Ce s-a schimbat de atunci? Nu prea multe.

Încă se pasează resonsabilitatea asigurării securității informațiilor către auditor și nu către management. Încă percepția este că auditorul este fie un ”procuror” („taie și spînzură„) fie ”Papa” (”vinde indulgențe). Încă nu s-a înțeles că AUDITUL, adică procesul de evaluare a unor controale este o activitate independentă de culegere a unor probe despre starea implementării acelor controale și nu o activitate care produce implicit securitate informațiilor și asigură confidențialitatea datelor personale. Auditul securității sistemelor informatice nu se referă la completarea unor liste de verificare sau generarea de documente pentru a trece inspecțiile instituțiilor guvernamentale s-au pentru a ”bifa” o cerință de conformitate.

Vin și cu cîteva exemple.

1. ORDIN nr. 553 din 5 iunie 2019 privind reglementarea procedurii de avizare a instrumentelor de plată electronică cu acces la distanţă
2. ORDIN Nr. 146/2022 din 1 februarie 2022 pentru aprobarea condiţiilor de furnizare a informaţiilor, modelului-cadru al protocolului de colaborare, procedurii privind schimbul de informaţii între Agenţia Naţională de Administrare Fiscală şi persoanele juridice de drept privat semnatare, precum şi a modalităţilor de acces în sistemele informatice dedicate conform art. 70^1 alin. (1) lit. b) din Legea nr. 207/2015 privind Codul de procedură fiscală
3. Regulamentul nr. 2/2020 (actualizat) privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată
4. NORMĂ nr. 4 din 28 februarie 2018 privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile autorizate/avizate/înregistrate, reglementate și/sau supravegheate de către Autoritatea de Supraveghere Financiară

Ar trebui să adăugăm și NIS2, DORA, CER….și ce va mai veni.

Cu excepția Regulamentului BNR care face referire la funcția de audit din cadrul instituției financiare celelalte acte normative nominalizează ”auditori IT” sau ”auditori externi”. MCID și ASF întrețin ”liste de auditori IT” care execută (ar trebui să) ”audituri de securitate cibernetică” și nu ”audituri IT” deși din punct de vedere legal (inclusiv în COR) din 2021 există doar ”auditori de securitate cibernetică” autorizați de DNSC.

Să luăm ca exemplu cerința ANAF unde se pune semnul egal între raportul de audit din care ”trebuie să rezulte că sistemul informatic şi procedurile informatice aplicabile nu permit obţinerea de informaţii cu încălcarea prevederilor legale în materia datelor cu caracter personal şi care reprezintă secret fiscal.” și ”prezentarea unor certificări de calitate (???) care acoperă cerinţele prevăzute la alin. (1) lit. c) de mai sus (de exemplu, certificări de tip (???) ISO 27001 şi similare (???))”.

Are auditorul libertatea profesională să judece care este criteriul după care evaluează dacă auditatul are ”un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării” după cum se cere prin GDPR? Dacă are o astfel de libertate, unde este scris? Dacă nu are o astfel de libertate, după ce criteriu evaluează cerința ce trebuie auditată?

Și dacă auditatul prezintă o ”certificare de calitate de tip ISO27001” și datele clienților devin totuși publice, ce face ANAF?

Ce condiții trebuie să îndeplinească ”probele” auditorului astfel încît să reziste într-o instanță de judecată sau să nu îi fie contestate chiar de către legiuitor sau auditat?

Ce lipsește deci din acest peisaj juridic? Nu sînt definite ”standardele profesionale” pentru auditori (fie ei și ”auditori IT”) și prin urmare nu știm care sînt și cine are obligația identificării ”criteriilor de audit”, ce condiții trebuie să îndeplinească probele de audit…..